Données des dossiers passagers (PNR)


Données des dossiers passagers (PNR)

Données des dossiers passagers

Les données des dossiers passagers (ou PNR, pour l'anglais Passenger Name Record) sont des données personnelles concernant tous les détails d'un voyage pour des passagers voyageant ensemble. Les Etats-Unis, le Canada, l'Australie et le Royaume-Uni se sont dotés d'un tel système de surveillance, le Royaume-Uni dans le cadre du programme e-borders [1], dont fait partie le système Semaphore [2] et les Etats-Unis dans le cadre du programme US-VISIT (en).

Leur échange entre États, ainsi que leur utilisation, pose pour la CNIL et son homologue européen, le G29, un certain nombre de problèmes quant au respect de la vie privée. L'échange de ces données avec les États-Unis pose en particulier un certain nombre de problèmes, ces données étant bien moins protégées par la législation américaine que dans les États de l'Union européenne.

Sommaire

Processus de création

Un PNR peut être créé de plusieurs façons : soit par le biais d'un système de réservation informatique (GDS en anglais), soit directement par une compagnie aérienne.

Par le biais d'un GDS

Dans ce cas, c'est un agent de voyage qui créé le PNR pour l'un de ses clients. Il utilise le GDS qui est une passerelle vers de nombreux acteurs de l'industrie du tourisme : un GDS offre en effet la possibilité de réserver des places sur de nombreuses compagnies aériennes et de nombreux hôtels, de louer des voitures, de s'enregistrer pour une croisière, ou encore de réserver des billets de trains. Suivant le GDS utilisé, les possibilités ne sont pas les mêmes, car elles dépendent des accords passés entre un prestataire et le GDS.

L'agent de voyage crée donc un voyage complet, et toutes les informations concernant ce voyage sont stockées dans le PNR pour pouvoir s'y référer à tout moment, et éventuellement le modifier. Chaque PNR possède un identifiant alphanumérique unique de 6 caractères, appelé Record locator.

Une fois le PNR créé, les informations sont envoyées à tous les acteurs concernés, notamment les compagnies aériennes qui font partie de l'itinéraire. En effet, les compagnies aériennes utilisent les PNR pour connaître la liste des passagers sur un vol donné.

Par une compagnie aérienne

Un PNR peut ne contenir des informations que pour un seul vol, c'est d'ailleurs pour cet usage que les PNR ont initialement été utilisés. Lors d'une réservation (par exemple sur Internet), un PNR est créé pour ce vol. Ainsi, pour un vol donné, il y aura autant de PNR que de réservations (un PNR peut regrouper plusieurs passagers voyageant ensemble).

Contenu

Un PNR contient les informations suivantes :

  • le nom du (ou des) passager(s) (*)
  • l'itinéraire des passagers (*)
  • les informations pour contacter au moins l'un des participants du voyage (*)
  • les informations de tickets (*)
  • les réservations d'hôtel
  • les réservations de voiture
  • certaines préférences pour les passagers, par exemple les repas pendant les vols (végétariens, kasher, etc)

(*) éléments obligatoires sans lesquels un PNR ne peut être créé.

État du droit dans l'Union européenne

L'accès au PNR est régulé dans l'Union européenne par la loi européenne sur la protection des données. Selon les règles de l'OCDE de 1980 concernant la protection de la vie privée, et la Directive de 1995 de l'UE sur la protection des données, les données PNR ne peuvent être transférées qu'à des États qui disposent de règles de la protection de la vie privée similaires[3]. De plus, les agences de sécurité n'ont qu'un droit d'accès au cas par cas à ces données, sur le fondement de soupçons étayés.

La Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers, adoptée sans l'avis du Parlement européen [4], qui se fonde sur l'accord de Schengen, règle aussi les échanges de données PNR, dans un but officiel de lutte contre le terrorisme d'une part, et d'autre part contre l'immigration illégale, en autorisant « l'utilisation de ces données comme élément de preuve dans des procédures visant à l'application des lois et des règlements sur l'entrée et l'immigration, notamment des dispositions relatives à la protection de l'ordre public et de la sécurité nationale » (art. 12)[4].

Jusqu'à présent, seul le Royaume-Uni a mis en place un système complet de données PNR. Bien que la Commission européenne ait proposé la création d'un tel système, au niveau européen, « Tant le contrôleur européen pour la protection des données (avis du 1er mai 2008), que l'agence des droits fondamentaux (avis du 3 décembre 2008) et le groupe de l'article 29 sur la protection des données (avis du 5 décembre 2007) ont en revanche émis des réserves sur la nécessité d'un tel système. Dans une résolution adoptée le 20 novembre 2008, le Parlement européen a reconnu que la collecte et le traitement de données pouvaient être un outil utile pour lutter contre le terrorisme. Mais il a exprimé de fortes réserves sur la nécessité et la valeur ajoutée de la proposition. » [1].

La résolution du 20 novembre 2008 du Parlement européen a été adoptée par le Sénat français le 30 mai 2009 [5].

Avis du G29 de 2007

En novembre 2007, peu de temps après la signature d'un accord entre l'UE et les États-Unis concernant l'échange des données PNR (voir ci-dessous), la Commission européenne a déposé un projet-cadre pour une nouvelle directive, qui s'alignait fortement sur l'accord de juillet 2007 avec Washington [6]. Le G29, équivalent européen de la CNIL, a rendu son rapport sur cette décision-cadre en décembre 2007, critiquant notamment le manque de dispositions visant à assurer la sécurité des données personnelles quant à la vie privée[6].

Le G29 signale en particulier que: « Dans sa rédaction actuelle, la proposition de décision-cadre prévoit la collecte d’un grand nombre de données à caractère personnel relatives aux passagers aériens entrant ou sortant de l’UE, indépendamment du fait qu'ils soient soupçonnés ou innocents. Ces données seront ensuite conservées pendant une durée de treize ans, en vue d’un éventuel usage ultérieur, permettant ainsi le profilage des voyageurs. Cette proposition s’ajoute au relevé des empreintes digitales de tous les citoyens demandant un passeport, et à la conservation de toutes les données liées au trafic des télécommunications au sein de l’UE. (...) Un régime PNR européen ne saurait aboutir à la surveillance généralisée de tous les passagers »[6].

Le G29 note en outre que les États-Unis « n’ont jamais prouvé de façon concluante que la quantité considérable de données passagers collectée est véritablement nécessaire à la lutte contre le terrorisme et la grande criminalité (...) Les seules informations fondées disponibles à cette fin indiquent que les données API [Advanced Passengers System] sont davantage utilisées que les données PNR. » [6] Dès lors, le G29 remarque qu'il ne voit pas quel besoin les États ont d'enregistrer, outre les données API, les données PNR, d'autant plus que l'UE dispose déjà du Système d'information Schengen (SIS) et prépare le système européen d'identification des visas (Visa Information System – VIS), une base de données biométriques concernant les demandeurs de visa pour l'espace Schengen[6].

Concernant l'échange d'informations avec des États tiers, le G29 « [s'inquiète] par ailleurs de la référence à des accords internationaux faite à l’article 8, paragraphe 2, et des conséquences de la réciprocité automatique avec les pays tiers utilisant un système PNR. Il faut se rendre compte que l’existence d’un régime PNR européen pourrait inciter des régimes non démocratiques ou corrompus à exiger la communication de PNR sur la base du principe de réciprocité. Il convient dès lors de se demander si les conséquences de cette réciprocité ont été suffisamment étudiées (par ex. la détention d'informations relatives aux cartes de crédit, qui font souvent parties des données PNR, par des fonctionnaires d’un État incapable de supprimer la corruption pourrait avoir des conséquences graves). D’autre part, l’acception du terme «lutte contre le terrorisme» peut, dans certains États, être extrêmement différente de celle admise dans l’UE. La réciprocité pourrait ainsi permettre à une dictature d’établir une évaluation des risques présentés par les dissidents, à partir des données PNR »[6].

Législation française

En France, la loi du 23 janvier 2006 relative à la lutte contre le terrorisme a contraint les compagnies ferroviaires, aériennes, maritimes à transmettre les données PNR à la police et à la gendarmerie, données qui peuvent être comparées avec le Fichier des personnes recherchées (FPR)[7] ainsi qu'avec le Système d'information Schengen (SIS)[8].

En vertu de l'art. 7 de la loi du 23 janvier 2006, un arrêté du 28 janvier 2009 a prorogé le Fichier des passagers aériens, un système de traitement automatisé de données à caractère personnel concernant « les provenances et les destinations, situées dans des États n'appartenant pas à l'Union européenne, des passagers aériens »[8]. Les données sont conservées cinq ans, sauf celles concernant le FPR ou le SIS, qui ne seraient conservées que 24 heures[8]. Par ailleurs, ce nouveau fichier ayant une double finalité de prévention et répression d'actes de terrorisme d'une part, et d'autre part de « lutte contre l'ìmmigration clandestine », ces données ne peuvent être consultées, dans ce dernier cas, « que dans les vingt-quatre heures qui suivent leur transmission »[8].

Législation britannique

Au Royaume-Uni, l'Immigration, Asylum and Nationality Act 2006 (IANA) va plus loin que la décision-cadre du Conseil européen concernant les données PNR, autorisant leur collecte et usage pour plus d'organismes, y compris ceux en charge du prélèvement fiscal. De plus, la loi ne s'applique pas qu'aux transporteurs aériens, comme le fait la décision-cadre, mais à tous les transporteurs quels qu'ils soient[9]

Accord PNR États-Unis et Union européenne

Suite au 11 septembre 2001, le Département de la Sécurité intérieure des États-Unis (DHS) a essayé d'avoir accès aux données PNR des États membres de l'Union européenne (UE). Le Congrès a voté en particulier deux lois exigeant ces données, le Aviation and Transportation Security Act (en) du 19 novembre 2001 et le Enhanced Border Security and Visa Entry Reform Act of 2002 (en). Washington a négocié un accord, en mai 2004, avec l'UE, connu sous le nom d'accord PNR États-Unis - UE[10].

Cependant, la Cour européenne de justice a invalidé l'accord le 30 mai 2006[11], [12].

Un nouvel accord PNR entre les États-Unis et l'UE a été signé en juillet 2007[13]. Peu de temps après, l'administration Bush a accordé des dérogations au Département de Sécurité intérieure concernant la loi de 1974 sur la vie privée (Privacy Act) en ce qui concerne l' Automated Targeting System (ATS) et le Arrival and Departure Information System (ADIS), deux bases de données informatisées du Département de Sécurité intérieure — ce qui a suscité de la méfiance en Europe[14], y compris de la part du Contrôleur européen de la protection des données[15].

Enfin, Jonathan Faull, Directeur général en charge de la politique de justice, de liberté et de sécurité, s'est plaint de politiques bilatérales américaines concernant les PNR[16]. Washington avait en effet court-circuité Bruxelles en signant en février 2008 un memorandum of understanding (MOU) avec la République tchèque, en échange d'une exemption de Visa, sans concertation préalable avec Bruxelles[17].

Les tensions entre l'UE et les USA s'expliquent largement en raison de protection inférieure accordée aux données personnelles aux États-Unis. En particulier, les étrangers ne bénéficient pas de la loi américaine de 1974 sur la protection de la vie privée. Washington a bien passé un Safe Harbor arrangement avec l'UE pour se mettre en conformité avec les directives européennes sur la protection des données personnelles, mais on considère que l'accord n'est pas suffisant. Outre la République tchèque, les États-Unis ont tenté de passer des MOU bilatéraux avec le Royaume-Uni, l'Estonie, l'Allemagne et la Grèce[18].

Notes et références

  1. a  et b PROPOSITION DE RÉSOLUTION EUROPÉENNE PRÉSENTÉE AU NOM DE LA COMMISSION DES AFFAIRES EUROPÉENNES EN APPLICATION DE L'ARTICLE 73 BIS DU RÈGLEMENT sur la proposition de décision-cadre relative à l'utilisation de données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives (E 3697), présentée au Sénat français par Simon Sutour le 5 mars 2009.
  2. Border surveillance plan unveiled, BBC, 29 septembre 2004
  3. (en) OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data - OCDE, 23 septembre 1980
  4. a  et b Directive 2004/82/CE du Conseil du 29 avril 2004 concernant l'obligation pour les transporteurs de communiquer les données relatives aux passagers (points 5 et 6)
  5. RÉSOLUTION EUROPÉENNE sur la proposition de décision-cadre relative à l'utilisation des données des dossiers passagers (Passenger Name Record - PNR) à des fins répressives (E 3697), devenue résolution du Sénat
  6. a , b , c , d , e  et f G29, Avis commun sur la proposition de décision-cadre du Conseil relative à l’utilisation des données des dossiers passagers (PNR) à des fins répressives présentée par la Commission le 6 novembre 2007 [pdf]
  7. CNIL, Lutte contre le terrorisme : la CNIL souhaite un meilleur équilibre entre les impératifs de sécurité et la protection des libertés, 26 octobre 2005.
  8. a , b , c  et d Arrêté du 28 janvier 2009 pris pour l'application de l'article 7 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers et portant création, à titre expérimental, d'un traitement automatisé de données à caractère personnel relatives aux passagers enregistrées dans les systèmes de contrôle des départs des transporteurs aériens, publié au Journal officiel du 4 février 2009
  9. Richard Thomas, ICO (Information Commissioner's Office) (en) House of Lords Select Committee on the European Union - Home Affairs Subcommittee -Inquiry into the ‘Framework Decision on Passenger Name Record (PNR)’ - Evidence submitted by the Information Commissioner, 19 mars 2008 [pdf]
  10. (en) 2004 Passenger Name Record Data Transfer
  11. Voir (en) BBC News: EU court annuls data deal with US et (en) Judgment of the Court of Justice in Joined Cases C-317/04, C-318/04 Parliament/ Council (press release) [pdf]
  12. Arrêt de la CEJ : plus de transfert des données relatives aux passagers aériens en Europe vers les Etats-Unis, Euractiv, 31 mai 2006
  13. Voir[1].
  14. Statewatch, US changes the privacy rules to exemption access to personal data septembre 2007
  15. Le CEPD exprime de sérieuses préoccupations concernant la proposition EU-PNR, Challenge, Liberty & Security, 25 décembre 2007
  16. Brussels attacks new US security demands, European Observer.Voir aussi Statewatch newsletter février 2008
  17. Les USA veulent les données personnelles des Européens, Rue 89, 2 mars 2008
  18. Statewatch, mars 2008

Voir aussi

Lien externe

Ce document provient de « Donn%C3%A9es des dossiers passagers ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Données des dossiers passagers (PNR) de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • Données des dossiers passagers — Les données des dossiers passagers (ou PNR, pour l anglais Passenger Name Record) sont des données personnelles concernant tous les détails d un voyage pour des passagers voyageant ensemble. Les États Unis, le Canada, l Australie et le Royaume… …   Wikipédia en Français

  • Donnees personnelles — Données personnelles Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont… …   Wikipédia en Français

  • Données Personnelles — Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont notamment la loi… …   Wikipédia en Français

  • Données de connexion — Données personnelles Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont… …   Wikipédia en Français

  • Données à caractère personnel — Données personnelles Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont… …   Wikipédia en Français

  • Données personnelles — Les données personnelles sont les informations qui permettent d identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée, dont notamment la loi… …   Wikipédia en Français

  • Controleur europeen de la protection des donnees — Contrôleur européen de la protection des données Siège: Bruxelles, Belgique En fonction depuis: janvier 2004 Base legal: Article 286, Traité instituant les Communautés européennes Règlement (CE) No 45/2001 du Parlement européen et du Conseil du… …   Wikipédia en Français

  • Contrôleur Européen De La Protection Des Données — Siège: Bruxelles, Belgique En fonction depuis: janvier 2004 Base legal: Article 286, Traité instituant les Communautés européennes Règlement (CE) No 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 …   Wikipédia en Français

  • Contrôleur aux données — Contrôleur européen de la protection des données Siège: Bruxelles, Belgique En fonction depuis: janvier 2004 Base legal: Article 286, Traité instituant les Communautés européennes Règlement (CE) No 45/2001 du Parlement européen et du Conseil du… …   Wikipédia en Français

  • Contrôleur européen pour la protection des données — Contrôleur européen de la protection des données Siège: Bruxelles, Belgique En fonction depuis: janvier 2004 Base legal: Article 286, Traité instituant les Communautés européennes Règlement (CE) No 45/2001 du Parlement européen et du Conseil du… …   Wikipédia en Français


Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.